Перейти к содержанию

[БЕЗ РАСШИФРОВКИ] Шифровальщик [bitcoin@email.tg].ncov


Рекомендуемые сообщения

Добрый день!

Увидел на диске файлы с расширением 

[bitcoin@email.tg].ncov

Выключил комп, пока не пойму откуда произошло заражение и шифрование.

В режиме восстановления утилитой FRST собрал лог, прикрепил.

Дальше не пойму как действовать, какой утилитой все попробовать удалить... На компьютере работает "Kaspersky Internet Security 2020", но есть ли у них помощь в удалении вирусов пока тоже не понял.


Извиняюсь сразу не прикрепит логи, исправляюсь

FRST.txt

CollectionLog-2020.04.01-16.44.zip

Ссылка на комментарий
Поделиться на другие сайты

Запустил в защищенном режиме 

Первый ничего не нашел, второй тоже

Поиск по диску говорит что все измененные файлы имеют дату от 01.04.2020 и время от 11:42:14 до 11:43:17 на диске 6300 файлов.

В итоге не понимаю откуда пролез шифровальщик, решил пока скопировать файлы на сетевой диск и сделать восстановление компа к исходному состоянию... 

В интернете есть ссылки на непонятные мне утилиты

 

Spyhunter  

 
Не понимаю - можно ли им доверять или это еще один шифровальщик

 

 


Есть опасения что простая загрузка может привести к продолжению работы шифровальщика. Или есть гарантированный способ этого избежать? Я пока поставил копировать все файлы сколько нибудь полезные на другой диск. 

П.С. Из неприятного - синхронизация на гугл работала и переименовало там много файлов (причем они остались вроде читаемы, только расширение поменялось...), надо разбираться можно ли там откатить массово до предыдущей версии.

 

 

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)

Логи нужны из обычного режима. 

 

Ссылка на комментарий
Поделиться на другие сайты

 

 

Не понимаю - можно ли им доверять или это еще один шифровальщик

SpyHunter место в корзине. 

 

 

 

В итоге не понимаю откуда пролез шифровальщик, решил пока скопировать файлы на сетевой диск и сделать восстановление компа к исходному состоянию... 

RDP ломанули. 

 

 

 

Или есть гарантированный способ этого избежать?

Скопируйте важные данные на внешний жесткий диск. Компьютер можно на время отключить от сети, чтобы он не начал шифровать общие сетевые папки. 

Ссылка на комментарий
Поделиться на другие сайты

Логи с обычного режима.

Скопировал все нужные файлы, отключил сеть, теперь можно над ним экспериментировать.

Прошу подскажите как получилось ломануть RDP? Действительно был открыт во внешнюю сеть порт 3389 (на 33890) и неделю назад делал попытку настройки RDP Wrap (все качал с "официального" https://github.com/stascorp/rdpwrap/releases), но сейчас он был отключен, а именно ключ

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters]

указан на стандартный 

%SystemRoot%\System32\termsrv.dll

 

после запуска в стандартном режиме каспер бел выключен полностью, включил, вылечил несколько файлов

 

post-57940-0-47104700-1585766054_thumb.jpg

 

Кроме вопроса - что же сейчас делать (кроме как снести нафиг все с диска и переинсталить винду), очень интересен механизм:

-какими уязвимостями могли воспользоваться, а главное что было скопрометировано - пароль пользователя с админскими правами?

- почему такой короткий промежуток времени судя по дате изменения файлов работал шифровальщих? (до этого и после как минимум 30 минут ничего не происходило с ПК). Судя по диску не все было защифровано, потери не большие. 

- помогает ли тут Каспер, или нужно что-то дополнительное тут иметь?

 

Думаю тут есть взаимосвязь с чертовым короновирусом - все пошли на удаленку, активизировался поиск открытых портов RDP...

 

П.С. Выяснил неприятную особеность гуглдиска - откат к предыдущим версиям можно делать только по одному файлику, а событие переименования вовсе нельзя отменить. Пока достал из корзины все помещенные туда файлы. Судя по вот этой ссылке микрософтовский OneDrive умеет делать массовый откат. Это повод пересмотреть отношение к облачным хранилищам - нужно изучить эти возможности в яндекс диске 

https://support.google.com/drive/thread/5409640?hl=en

 

CollectionLog-2020.04.01-20.48.zip

Ссылка на комментарий
Поделиться на другие сайты

Компьютеры с открытым портом RDP легко находятся, а подобрать пароль дело времени. Зачастую используются уязвимости протокола RDP. 

 

  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Прикладываю отчет  AdwCleaner (by Xplode)

 

Дополнительно решил посмотреть системные журналы, чтобы разобраться как все таки могли поломать RDP (чей пароль подобрали), если был подбор должно быть много событий неудачного входа, по идее.

 

Вот события журнала, которые мне показались подозрительными рядом с промежутком времени когда менялись файлы

 

Security
- журнал не открывается, пишет ошибка доступа

 

Application Error:

Состояние Kaspersky Internet Security успешно изменено на SECURITY_PRODUCT_STATE_SNOOZED.
Состояние Kaspersky Internet Security успешно изменено на SECURITY_PRODUCT_STATE_OFF.
Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.
Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем Coordinator. [0x80070005, Отказано в доступе.] 
 
Имя сбойного приложения: 1Alpha.exe, версия: 0.0.0.0, метка времени: 0x5e7a9af9
Имя сбойного модуля: 1Alpha.exe, версия: 0.0.0.0, метка времени: 0x5e7a9af9
Код исключения: 0xc0000006
Смещение ошибки: 0x0003a233
Идентификатор сбойного процесса: 0x5df4
Время запуска сбойного приложения: 0x01d608013806f1c5
Путь сбойного приложения: \\tsclient\B\CRY\1Alpha.exe
Путь сбойного модуля: \\tsclient\B\CRY\1Alpha.exe
 
Имя сбойного приложения: 1bit.exe, версия: 0.0.0.0, метка времени: 0x5e79420b
Имя сбойного модуля: 1bit.exe, версия: 0.0.0.0, метка времени: 0x5e79420b
Код исключения: 0xc0000006
Смещение ошибки: 0x00065ab6
Идентификатор сбойного процесса: 0x7f8
Время запуска сбойного приложения: 0x01d608018603b887
Путь сбойного приложения: \\tsclient\B\CRY\1bit.exe
Путь сбойного модуля: \\tsclient\B\CRY\1bit.exe
 
Имя сбойного приложения: 1Berilium.exe, версия: 0.0.0.0, метка времени: 0x5e7a98d5
Имя сбойного модуля: 1Berilium.exe, версия: 0.0.0.0, метка времени: 0x5e7a98d5
Код исключения: 0xc0000006
Смещение ошибки: 0x00070362
Идентификатор сбойного процесса: 0x6c14
Время запуска сбойного приложения: 0x01d6080162ec99af
Путь сбойного приложения: \\tsclient\B\CRY\1Berilium.exe
Путь сбойного модуля: \\tsclient\B\CRY\1Berilium.exe

 
System:

 
Установка завершена: следующее обновление было успешно установлено: Обновление платформы защиты от вредоносных программ Windows Defender Antivirus — KB4052623 (версия 4.18.2003.8)
 
Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID 
{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}
 и APPID 
{56BE716B-2F76-4DFA-8702-67AE10044F0B}
 пользователю SRV\Marina с ИД безопасности (S-1-5-21-868910638-4054835038-886427749-1005) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
 
Процесс C:\Windows\System32\DriverStore\FileRepository\c0346830.inf_amd64_f723e13ffb3b2652\B345901\atieclxx.exe (ИД процесса: 27372) изменил схему политики с {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c} на {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c}

 

 

 

Подробнее читайте в этом руководстве.

 

Не могли бы поправить ссылку, куда хотели меня отправить на этом форуме?

AdwCleanerS00.txt

Изменено пользователем alexshav
Ссылка на комментарий
Поделиться на другие сайты

Очистил все что нашел AdwCleaner (by Xplode)

Что сделал дополнительно:

 

sfc /scannow (ошибок нет)

DISM /Cleanup-Image /ScanHealth (повреждений нет)

 

изучил Event-Log в попытке разобраться как-же все таки удалось проникнуть в систему. Что выяснил - действительно происходили регулярные попытки входа в систему, журнал Security полон неудачных попыток входа с внешних адресов, затем последовательно нашел какой логин был сломан. Итак куча записей (примерно 1 раз в 2-5 сек.) события типа

 

failed to log on:

An account failed to log on.

Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 00000000

Logon Type: 3

Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: MARINA
Account Domain:

Failure Information:
Failure Reason: Неизвестное имя пользователя или неверный пароль.
Status: C000006D
Sub Status: C000006A

Process Information:
Caller Process ID: 00000000
Caller Process Name: -

Network Information:
Workstation Name: -
Source Network Address: 221.2.244.66
Source Port: 0

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

 

 

Везде тут попытка 

Logon Type: 3

 

Любопытно

- разные IP

- перебор логинов по словарю (в основном Admin, Admininstrator, User и т.п. , но и менее популярные - Sklad3,  kassa2 и т.д.). В примере выше - логин который был в итоге сломан (без админских прав, но с правами RDP)

 

Затем нашел три почти подряд события успешного входа

 

successfully logged on:

An account was successfully logged on.

Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 00000000

Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 478C5F21
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000000
Process Name: -

Network Information:
Workstation Name: ВИРТУХА_WIN7
Source Network Address: 45.9.238.21

Source Port: 0

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V2
Key Length: 128

==========================================

Subject:
Security ID: S-1-5-18
Account Name: SRV$
Account Domain: KAFEDRA
Logon ID: 000003E7

Logon Information:
Logon Type: 7
Restricted Admin Mode: -
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 478F7A38
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000750
Process Name: C:\Windows\System32\svchost.exe

Network Information:
Workstation Name: SRV
Source Network Address: 45.9.238.21

Source Port: 0

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

====================================

An account was successfully logged on.

Subject:
Security ID: S-1-5-18
Account Name: SRV$
Account Domain: KAFEDRA
Logon ID: 000003E7

Logon Information:
Logon Type: 10
Restricted Admin Mode: Нет
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 481DC4C0
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000750
Process Name: C:\Windows\System32\svchost.exe

Network Information:
Workstation Name: SRV
Source Network Address: 45.9.238.21

Source Port: 0

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

 

 

Что мне не понятно:

- пароль на взломанного пользователя состоял из 6 неодинаковых цифр, простой перебор не сложен но должен был показать тысячи неудачных попыток, а за 3 предыдущих дня набралось их не более 15-ти. Как тогда? Не понимаю...

- по времени логон с типом 10 (RDP), был позже чем начались переименования файлов. Получается получив файловый доступ (логин с типом 3), уже удалось запустить шифратор. И логон по RDP был уже в дополнение к автоматическому запуску шифратора отсюда

 

Workstation Name: ВИРТУХА_WIN7
Source Network Address: 45.9.238.21

 

Сегодня была попытка входа на мою почту (gmail прислал уведомление на почту) с Американского IP - отклонил и поставил двухфакторную авторизацию с использованием телефона. Но тогда это означает что как-то увели пароль на почту? Опять не понимаю, это уже кейлогер должден работать...

 

Итого по итогам вопросы:

- что посоветуете держать в дополнение к Kaspersky Internet Security из постоянно запущенных? От разнообразия утилит глаза разбегаются - только тут в топике целый ворох разных... Желательно простой набор, чтобы легко клонировать на несколько компов + ноуты.

- чем бы закрыть RDP кроме сложных паролей, чтобы избавиться от такого подбора постоянного, вот это IPBAN

http://nikovit.ru/blog/zashchishchaem-rdp-server-ot-perebora-paroley-s-blokirovkoy-po-ip/
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

C:\Users\Marina\Documents\NS.exe
C:\Users\Все пользователи\x64.exe

Проверьте файлы на virustotal. 

 

Какого числа получили шифровальщика? 

Ссылка на комментарий
Поделиться на другие сайты

 

 

C:\Users\Marina\Documents\NS.exe

 

тут полно вирусов нашлось, причем KIS (Касперский Интернет ...) определил ее как не вирус, однако предлагает ее в карантин отправить. Переименование файла мое, чтобы случайно не запустить

07.04.2020 11.06.19 Обнаруженный объект (файл) не обработан E:\flash\Dangeros\NS.e Файл: E:\flash\Dangeros\NS.e Название объекта: not-a-virus:NetTool.Win32.Scan.qj Тип объекта: Легальная программа, которая может быть использована злоумышленниками для нанесения вреда компьютеру или данным 

 

 

C:\Users\Все пользователи\x64.exe

 

Этот чистый по virustotal

 

 

 

Какого числа получили шифровальщика? 

 

все файлы измененные имели дату от 01.04.2020 и время от 11:42:14 до 11:43:17

по анализу логов удачный логон в нешнего IP произошел чуть раньше на несколько минут

Ссылка на комментарий
Поделиться на другие сайты

Часть информации может быть получится восстановить с помощью ShadowExplorer. 

 

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

доброго времени суток

поймали вирус что добавил в конце NCOV

после чего перестали открывать файлы 1с доки и,т,д

в касперском на сайте нету на него расшыфровщика(

можете помоч?

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...